Хакер может следить за вами через вашу веб-камеру и микрофон. И вы разрешили им этот доступ. Вот как.
Вы открываете сайт для просмотра видео. Достаточно невинно, правда? Но, просто нажав на кнопку, злоумышленник мог получить доступ к вашей камере и микрофону. Они могут наблюдать за вами, даже если вы об этом не знаете. Это форма атаки, называемая кликджекингом.
Так что же это на самом деле означает? Как работает кликджекинг? И как вы можете защитить себя?
Что такое кликджекинг?
Clickjacking — это тип атаки социальной инженерии, которую киберпреступники могут использовать для получения доступа к информации пользователей.
Основная цель кликджекинга — обмануть пользователя, чтобы заставить его щелкнуть что-то конкретное, что хочет киберзлоумышленник. Благодаря этому они могут захватить ваше устройство, особенно при использовании камеры и микрофона. В большинстве браузеров достаточно нажать одну кнопку, чтобы предоставить доступ к микрофону и камере; Таким образом, пользователи могут неосознанно поделиться своими камерами с кибератакой, что может иметь серьезные последствия, особенно для конфиденциальности.
Как Clickjacking работает с прозрачными сайтами
Злоумышленники создают поддельные среды, чтобы обмануть пользователей. Поддельные веб-сайты могут охватить большое количество людей, что увеличивает вероятность успеха атаки. Мошенники создают сайт, который выглядит невинно, но на самом деле имеет целью получить доступ к вашей камере и микрофону или заставить вас загрузить вредоносное ПО.
Например, рассмотрим простую игру-кликер, которая полностью работает в вашем браузере. Его основная цель — оценить вашу способность координировать движения рук и глаз. Для этого игра представляет вам цветные кнопки, которые появляются в разных частях экрана, и предлагает вам нажимать на них. Чем быстрее вы сможете выполнить это задание, тем выше будет ваш уровень достижений.
Хотя это кажется безобидным, координаты кнопок, которые появятся на экране, заранее определены злоумышленником. Вы думаете, что нажимаете кнопку и выигрываете игру, но на самом деле вы нажимаете совершенно другую кнопку в фоновом режиме.
Доступ к вашей камере с помощью Clickjacking
То же самое касается доступа к вашему разрешения для микрофона и камеры. Иногда сайтам нужна ваша камера и микрофон. Например, такое приложение, как Zoom, требует этих разрешений, чтобы вы могли говорить и чтобы ваше изображение появлялось в видеоконференциях. Чтобы предоставить разрешения, вы увидите кнопку «разрешить» где-то в интерфейсе вашего браузера. Конечно, не все платформы так безопасны, как Zoom.
Таким образом, когда вы нажимаете невинно выглядящую кнопку воспроизведения, чтобы посмотреть телешоу или фильм, это может быть внутренняя кнопка, позволяющая открыть вашу камеру, созданная хакером.
Как защититься от кликджекинга?
Злоумышленник использует различные коды и сценарии, чтобы заставить вас щелкнуть именно там, где он хочет, и управлять вашим экраном. Многие разработчики даже с небольшим опыт работы с HTML и CSS могут легко сделать это: им просто нужно поиграть со значениями непрозрачности двух страниц, которые они разработали друг над другом, и не показывать последнюю страницу конечному пользователю.
Чтобы не стать жертвой, казалось бы, простой уловки, основанной на сценариях, один из наиболее эффективных подходов — отключить JavaScript. Большинство веб-браузеров предоставляют функцию безопасности, позволяющую отключить JavaScript код, который работает в фоновом режиме веб-сайтов. Например, в Chrome вы можете получить доступ к странице, набрав «chrome://settings/content/javascript» в адресной строке. Перейдя на эту страницу, вы увидите Запретить сайтам использовать Javascript вариант.
Однако вам нужно проявлять осторожность при выборе этой опции, поскольку она заблокирует все существующие коды на каждом веб-сайте. Активируйте его только при входе на сайты, которым вы не доверяете и считаете небезопасными. Вы всегда можете изменить эту настройку позже.
Кроме того, вы можете использовать бесплатные и надежные плагины с открытым исходным кодом, чтобы упростить включение и отключение JavaScript. Пакет безопасности NoScript является хорошим решением для этого и предлагает поддержку многих различных браузеров. Он направлен на предотвращение не только атак кликджекинга, но и вредоносного программного обеспечения, которое существует на любом сайте, на который вы заходите.
Злоумышленники не всегда кодируют свои сайты для выполнения атаки кликджекинга с использованием прозрачных сайтов. Они также могут воспользоваться онлайн-уязвимостями, которые они находят во время работы в Интернете. Например, они могут внедрять код, используя уязвимость в разделе комментариев блога. В таких случаях вам нужно обратить внимание на то, на что вы на самом деле нажимаете, даже если это звучит немного параноидально.
Как узнать, заслуживает ли сайт доверия?
Как узнать, можно ли доверять сайту? Злоумышленники часто не тратят слишком много времени на проектирование и разработку сайта; это ненужная трата времени и денег. Вы можете сказать это по сертификатам безопасности и дизайну сайта. Например, большой и надежный сайт организации, скорее всего, будет иметь SSL-сертификат. Чтобы проверить это, посмотрите на URL. Если адрес начинается " https://", это означает, что сайт имеет SSL-сертификат. Эта дополнительная буква «S» после «HTTP» означает «Безопасный». Однако не стоит полагаться только на это.
Вы также должны обратить внимание на дизайн и содержание сайта. Информация на странице контактов, политика конфиденциальности и даже Предупреждение GDPR может указывать, заслуживает ли сайт доверия. Изучите сайт тоже. Что говорят об этом другие пользователи таких платформ, как Twitter, Facebook и Trustpilot?
Если у вас есть какие-либо знания о кодировании, вы можете изучить исходные коды сайта. Таким образом, вы увидите некоторые фоновые работы и ссылки на другие сайты.
Стоит ли беспокоиться о кликджекинге?
Clickjacking — страшная вещь, особенно потому, что киберпреступники могут получить доступ к вашей веб-камере и активно следить за вашими действиями. Это серьезное вторжение в частную жизнь и безопасность.
Так что да, может показаться немного OTT, чтобы быть осторожным, когда вы на самом деле нажимаете на веб-сайт. Большинство из нас делают это, не задумываясь. Но также важно сохранять бдительность, чтобы не стать жертвой хакера.